Σύνοψη
- Η ανάλυση 231 εκατομμυρίων μοναδικών κωδικών που διέρρευσαν μεταξύ 2023 και 2026 αποκαλύπτει σοβαρά κενά στις συνήθειες των χρηστών.
- Το 68,2% των κωδικών μπορεί να παραβιαστεί μέσα σε μία ημέρα, ενώ το 60,2% απαιτεί μόλις μία ώρα.
- Η πλειονότητα των κωδικών ξεκινά ή καταλήγει σε αριθμό, με το 53% να έχει αριθμητική κατάληξη, καθιστώντας τους ευάλωτους σε επιθέσεις brute force.
- Δημοφιλείς όροι με θετικό πρόσημο, καθώς και διαδικτυακές τάσεις όπως η λέξη «Skibidi» (η οποία σημείωσε αύξηση χρήσης 36 φορές), χρησιμοποιούνται κατά κόρον.
- Ακόμη και κωδικοί 15 χαρακτήρων είναι πλέον επισφαλείς, καθώς αλγόριθμοι τεχνητής νοημοσύνης μπορούν να παραβιάσουν πάνω από το 20% αυτών σε λιγότερο από ένα λεπτό.
Η προσέγγιση γύρω από την ψηφιακή ασφάλεια αναθεωρείται ριζικά, καθώς τα δεδομένα αποδεικνύουν ότι οι καθιερωμένες πρακτικές δεν επαρκούν. Με αφορμή την Παγκόσμια Ημέρα Κωδικών Πρόσβασης, οι ειδικοί της Kaspersky ανέλυσαν 231 εκατομμύρια μοναδικούς κωδικούς που διέρρευσαν μαζικά κατά την περίοδο 2023–2026 και εντόπισαν βασικά μοτίβα ασφαλείας.
Σύμφωνα με την έρευνα, η οποία βασίζεται σε δεδομένα της υπηρεσίας Kaspersky Digital Footprint Intelligence, το 68% των κωδικών που χρησιμοποιούνται σήμερα μπορεί να παραβιαστεί μέσα σε μία ημέρα. Όλο και περισσότερες υπηρεσίες απαιτούν πλέον κωδικούς με τουλάχιστον 10 χαρακτήρες, οι οποίοι να περιλαμβάνουν ένα κεφαλαίο γράμμα και έναν αριθμό ή σύμβολο. Ωστόσο, η συγκριτική ανάλυση κωδικών που παραβιάστηκαν τα τελευταία χρόνια δείχνει ότι ακόμη και η τήρηση ορισμένων από αυτούς τους κανόνες δεν εγγυάται προστασία απέναντι σε επιθέσεις brute force ή επιθέσεις που βασίζονται στην τεχνητή νοημοσύνη.
Η ψευδαίσθηση της πολυπλοκότητας: Αριθμοί και σύμβολα
Ένα από τα σημαντικότερα ευρήματα είναι η προβλεψιμότητα στην επιλογή και τοποθέτηση των χαρακτήρων. Διαπιστώθηκε ότι η συντριπτική πλειονότητα των παραβιασμένων κωδικών είτε ξεκινά είτε καταλήγει σε αριθμό — ένα συνηθισμένο μοτίβο που τους καθιστά πιο ευάλωτους σε επιθέσεις brute force.
Συγκεκριμένα, το 53% των κωδικών που εξετάστηκαν καταλήγει σε αριθμό. Το 17% ξεκινά με αριθμό. Σχεδόν το 12% περιλαμβάνει αριθμητική ακολουθία που παραπέμπει σε ημερομηνία, καλύπτοντας το φάσμα από το 1950 έως το 2030. Παράλληλα, το 3% των παραβιασμένων κωδικών περιλαμβάνει ακολουθίες χαρακτήρων πληκτρολογίου, όπως «qwerty» ή «ytrewq», αν και οι περισσότερες αφορούν αριθμητικά μοτίβα όπως το «1234».
Όσον αφορά τα σύμβολα, το «@» βρίσκεται στην κορυφή της λίστας των παραβιασμένων κωδικών που περιλαμβάνουν μόνο ένα σύμβολο, καθώς εμφανίζεται στο 10% των περιπτώσεων. Ακολουθεί η τελεία («.»), η οποία εντοπίζεται στο 3% των κωδικών. Συνολικά, το «@» καταλαμβάνει τη δεύτερη θέση σε συχνότητα εμφάνισης, ενώ στην τρίτη θέση βρίσκεται το θαυμαστικό («!»).
Ο Alexey Antonov, επικεφαλής της ομάδας Data Science στην Kaspersky, σημειώνει ότι τα συχνά χρησιμοποιούμενα σύμβολα, οι αριθμοί και οι ημερομηνίες διευκολύνουν σημαντικά τις επιθέσεις brute force από κυβερνοεγκληματίες — ιδιαίτερα όταν βρίσκονται σε προφανή σημεία, όπως στην αρχή ή στο τέλος των κωδικών πρόσβασης. Για να αποφύγετε τη χρήση προβλέψιμων συμβόλων, συνιστάται η χρήση εξειδικευμένων password generators, τα οποία δημιουργούν τυχαίους συνδυασμούς γραμμάτων, αριθμών και συμβόλων με ίσες πιθανότητες.
Λεξιλόγιο και pop culture: Ο παράγοντας «Skibidi»
Η έρευνα δείχνει ότι συναισθηματικά φορτισμένες και δημοφιλείς λέξεις χρησιμοποιούνται συχνά ως βάση για τη δημιουργία κωδικών πρόσβασης. Οι χρήστες φαίνεται να προτιμούν δημοφιλείς λέξεις με θετικό πρόσημο. Μεταξύ των λέξεων που εμφανίζονται συχνά περιλαμβάνονται οι «love», «magic», «friend», «team», «angel», «star» και «eden». Ενδιαφέρον παρουσιάζει το γεγονός ότι οι θετικές λέξεις είναι σημαντικά πιο συχνές από τις αρνητικές, αν και απαντώνται και όροι όπως «hell», «devil», «nightmare» και «scar».
Η επιρροή της διαδικτυακής κουλτούρας είναι τεράστια. Χαρακτηριστικό παράδειγμα αποτελεί η λέξη «Skibidi», η χρήση της οποίας στους κωδικούς που αναλύθηκαν αυξήθηκε κατά 36 φορές τα τελευταία χρόνια (μεταξύ 2023 και 2026), ακολουθώντας τη ραγδαία εξάπλωση της συγκεκριμένης διαδικτυακής τάσης.
«Η χρήση ενός μονολεκτικού κωδικού πρόσβασης, ακόμη και αν περιλαμβάνει έναν αριθμό ή ειδικό σύμβολο στο τέλος, αποτελεί αδύναμη επιλογή. Το μοτίβο αυτό είναι υπερβολικά προβλέψιμο, γεγονός που διευκολύνει τους επιτιθέμενους να το μαντέψουν», εξηγεί ο Antonov. Προτείνεται η δημιουργία μιας φράσης-κωδικού που συνδυάζει αρκετές άσχετες μεταξύ τους λέξεις, μαζί με αριθμούς και σύμβολα, καθώς και η σκόπιμη εισαγωγή ορισμένων ορθογραφικών λαθών.
Τεχνητή Νοημοσύνη vs μήκους κωδικού: Τα μαθηματικά του Cracking
Ως γνωστόν, οι μεγαλύτεροι κωδικοί πρόσβασης είναι δυσκολότερο να παραβιαστούν, και η ανάλυση κωδικών που έχουν διαρρεύσει επιβεβαιώνει αυτή την αρχή. Ωστόσο, με την άνοδο εργαλείων που βασίζονται στην τεχνητή νοημοσύνη, η χρήση απλώς μακροσκελών κωδικών δεν αποτελεί εγγύηση ασφάλειας.
Τα δεδομένα είναι αμείλικτα: Το 60,2% του συνόλου των κωδικών που αναλύθηκαν — ανεξαρτήτως της έκτασής τους— μπορεί να παραβιαστεί μέσα σε περίπου μία ώρα, ενώ το 68,2% μέσα σε μία ημέρα. Οι σύντομοι κωδικοί έως οκτώ χαρακτήρες που εντοπίζονται σε διαρροές συνήθως “σπάνε” μέσω επιθέσεων brute force μέσα σε λιγότερο από μία ημέρα. Το πλέον ανησυχητικό είναι ότι, χάρη σε “έξυπνους” αλγορίθμους που αξιοποιούν την τεχνητή νοημοσύνη, περισσότερο από το 20% των κωδικών με 15 χαρακτήρες μπορεί να παραβιαστεί σε λιγότερο από ένα λεπτό.
Αυτοί οι υπολογισμοί βασίζονται σε παραδείγματα που χρησιμοποιούν μία μόνο κάρτα γραφικών GPU RTX 5090 και τον αλγόριθμο MD5. Στην πράξη, όμως, οι επιτιθέμενοι μπορούν να νοικιάσουν πολλαπλές GPU — δέκα, εκατό ή και περισσότερες, αυξάνοντας σημαντικά τον ρυθμό παραβίασης.
Με τα σημερινά δεδομένα, οι πραγματικά ασφαλείς κωδικοί πρόσβασης δεν αρκεί να ακολουθούν το “χρυσό πρότυπο” των 16+ χαρακτήρων, αλλά πρέπει επίσης να αποτελούνται από τυχαίους, μη επαναλαμβανόμενους συνδυασμούς γραμμάτων, αριθμών και συμβόλων, καθώς και να είναι μοναδικοί για κάθε λογαριασμό. Η Kaspersky προτείνει τη χρήση Password Managers για αυτόματη συμπλήρωση και ασφαλή αποθήκευση υπό ένα master password, καταργώντας την ανάγκη απομνημόνευσης, καθώς και την αξιοποίηση των passkeys για σύνδεση με ένα κλικ. Ως επιπλέον μέτρο προστασίας, συνιστάται η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA), όπου αυτό είναι δυνατό.
*Μπορείτε πλέον να προσθέσετε το Techgear.gr ως Προτιμώμενη Πηγή ενημέρωσης για τις αναζητήσεις σας στο Google Search!
Διαβάστε επίσης
